Depuis l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) en mai 2018, la Commission nationale de l’informatique et des libertés (CNIL) a été au cœur du suivi et de la gestion des violations de données personnelles.

Entre mai 2018 et mai 2023, un total de 17 483 notifications de violations de données ont été adressées à la CNIL. Toutefois, ce chiffre ne représente qu’une partie des incidents réels, car un même incident peut générer plusieurs notifications, notamment lorsque plusieurs entreprises sont impactées.

Tendance à la hausse des notifications

Une analyse des données révèle une tendance à la hausse du nombre de notifications de violations de données au fil des ans. Cette augmentation peut être interprétée comme une meilleure prise en compte du RGPD par les acteurs concernés, mais elle peut également signaler une augmentation des menaces pesant sur les données personnelles.

Répartition par secteur et type d’activité

Le secteur privé est responsable de près des deux tiers des déclarations de violations à la CNIL, dont 39 % sont le fait de petites et moyennes entreprises (PME). Le secteur public, quant à lui, représente environ 22 % des notifications.

En ce qui concerne la répartition par type d’activité, les administrations publiques représentent 18 % des notifications, tandis que les activités spécialisées, scientifiques et techniques sont les plus touchées dans le secteur privé, suivies par les activités financières et d’assurance. Les secteurs liés à la santé humaine représentent également une part significative, avec 12 % des notifications.

Origines des violations de données

Plus de la moitié des violations notifiées ont pour origine des piratages, en tête desquels se trouvent les ransomwares, suivis par les attaques par hameçonnage. Les équipements perdus ou volés, les envois indus et les publications non volontaires constituent d’autres sources fréquentes de violations de données.

Prévention et notification des violations

Pour prévenir la majorité de ces incidents, la CNIL souligne l’importance de penser à la sécurité dès le lancement d’un projet, de prendre des mesures minimales pour la sécurité des données, de réaliser régulièrement des mises à jour de sécurité et de sensibiliser régulièrement le personnel aux risques et enjeux de la cybersécurité.

En cas de violation de données personnelles, le responsable de traitement doit notifier l’incident à l’autorité de contrôle compétente dans les meilleurs délais, idéalement dans les 72 heures suivant sa découverte. Cependant, la moitié des notifications sont effectuées en dehors de ce délai. Les principales raisons de ce retard incluent la méconnaissance de l’obligation de notification et le besoin d’obtenir des éléments tangibles et des résultats d’expertises.

Sanctions en cas de non-respect

Le non-respect de l’obligation de notification dans les 72 heures constitue un manquement au RGPD, passible de sanctions par la CNIL. Ces sanctions peuvent aller jusqu’à une amende de 10 millions d’euros ou 2 % du chiffre d’affaires de l’entreprise responsable. En cas de négligence volontaire ou de tentative de dissimulation, des sanctions plus sévères peuvent être envisagées.

En conclusion, le bilan CNIL des violations de données personnelles met en lumière l’importance croissante de la protection des données dans un contexte où les menaces informatiques sont de plus en plus sophistiquées et répandues. La conformité au RGPD et la réactivité face aux incidents sont essentielles pour préserver la confiance des individus dans la gestion de leurs données personnelles. Consulter le Bilan complet ici